全部產品
Search

搜尋本產品

    Web Application Firewall:獨享叢集最佳實務

    文件中心

    Web Application Firewall:獨享叢集最佳實務

    更新時間:Dec 18, 2024

    WAF獨享叢集在WAF公用叢集防護能力的基礎上,為您提供與實際業務特性相結合的定製化服務,包括非標準連接埠接入、SNI認證、自訂防護響應頁面、HTTPS協議加密設定、長連結逾時設定。

    如果您的業務系統包含上述設計,您可以依據業務體系配置獨享叢集,並將網站業務接入獨享叢集進行防護。

    獨享叢集和公用叢集對比

    對比項

    WAF公用叢集

    WAF獨享叢集

    叢集地區

    公用叢集在全球共部署11個防護節點,分布在以下地區:北京、杭州、深圳、中國香港、新加坡、馬來西亞、美西、德國、印尼、杜拜、日本。

    業務接入公用叢集防護時,根據來源站點IP自動匹配最佳地區的防護資源。

    獨享叢集包括主、備叢集。使用獨享叢集時,您可以從支援的地區中指定獨享叢集主叢集的地區,備叢集地區不可選擇。

    重要

    主叢集地區一經設定,不可更改。

    業務接入獨享叢集防護時,預設使用獨享叢集主叢集地區的防護資源;備叢集則提供備用服務,在主叢集出故障時承擔業務,或在發生攻擊時進行防禦。

    叢集連接埠

    如果您的業務使用特殊連接埠,則在WAF添加網站配置時,您需要自訂連接埠。公用叢集支援特定的非標準連接埠,具體內容,請參見WAF支援的連接埠

    獨享叢集比公用叢集支援範圍更廣的非標準連接埠,理論上僅不支援22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、4987等系統連接埠。

    使用獨享叢集自訂連接埠時,您必須先在獨享叢集設定中開啟伺服器連接埠,然後在添加網站到獨享叢集防護時,選擇已開啟的連接埠。

    說明

    獨享叢集最多支援開啟50個自訂連接埠,預設只開啟了80和443連接埠。

    SNI認證

    業務接入WAF公用叢集後,如果用戶端不相容SNI,則可能導致HTTPS業務訪問異常。更多資訊,請參見SNI相容性導致HTTPS訪問異常

    配置獨享叢集時,您可以上傳預設SNI認證。這樣,在業務接入獨享叢集後,即使暫不支援標準SNI協議的用戶端裝置也能正常訪問網站。

    防護響應頁面

    WAF公用叢集使用預設的防護響應頁面,例如,異常訪問被攔截時返回預設的攔截提示頁面。

    如果您希望防護響應頁面與您的網站設計風格保持一致,您可以使用獨享叢集自訂防護響應頁面。

    您可以將設計好的靜態頁面上傳到阿里雲CDN,並配置靜態頁面URL作為WAF的防護響應頁面,提升網站使用者體驗。

    HTTPS協議加密設定

    在公用叢集配置中,您可以根據業務安全需求選擇合適的TLS協議版本和加密套件。

    在獨享叢集配置中,您可以根據業務安全需求選擇合適的TLS協議版本和加密套件。

    長連結逾時限制

    公用叢集不支援該項配置。

    在獨享叢集配置中,您可以根據業務需求設定長連結限制時間長度,減少網路連接問題佔用資源。

    業務接入WAF獨享叢集

    前提條件

    要使用WAF獨享叢集,您必須先購買WAF獨享版或升級現有WAF版本到獨享版。更多資訊,請參見續約說明

    操作步驟

    開通WAF獨享版後,您可以參照以下步驟,接入網站業務到WAF獨享叢集進行防護。假設您的業務連接埠是90(該連接埠號碼不在公用叢集支援的非標準連接埠範圍內,要使用WAF防護該連接埠上的業務,必須接入WAF獨享叢集)。

    1. 配置獨享叢集。

      1. 登入Web Application Firewall控制台,在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地非中國內地)。

      2. 在左側導覽列,選擇系統管理 > 獨享設定

      3. 獨享設定頁面,根據您的業務特性配置獨享叢集。

        本樣本中,您需要定位到伺服器連接埠地區,在HTTP協議下添加90連接埠。具體操作,請參見設定獨享叢集

      4. 單擊儲存設定

        WAF將根據您添加的叢集配置為您配置獨享叢集。

    2. 將具有定製化需求的業務(例如,連接埠是90的HTTP業務)接入獨享叢集進行防護。

      • 已添加網站配置

        1. 在左側導覽列,選擇資產中心 > 網站接入

        2. 定位到要接入獨享叢集防護的網站網域名稱,將快捷操作下的防護資源設定為獨享叢集

          說明

          只有獨享版WAF執行個體才支援防護資源選項。

        3. 可選:根據需要編輯網站配置(例如,伺服器連接埠修改為HTTP協議90連接埠)。更多資訊,請參見添加網域名稱

      • 新添加網站配置

        1. 在左側導覽列,選擇資產中心 > 網站接入

        2. 網域名稱列表頁簽,單擊網站接入

        3. 可選:添加網域名稱頁面,選擇接入模式Cname接入

          如果當前頁面已經自動選擇了Cname接入,請跳過該步驟。

        4. 單擊手動接入頁簽,在填寫網站資訊任務中,將防護資源設定為獨享叢集,並填寫實際商務資訊(例如,在伺服器連接埠中添加HTTP協議90連接埠)。

          說明

          選擇獨享叢集防護後,伺服器連接埠只能從獨享叢集設定中已開啟的伺服器連接埠範圍內選擇。更多資訊,請參見配置獨享叢集

          更多配置說明,請參見添加網域名稱

        5. 單擊下一步,並根據頁面提示修改網域名稱的DNS解析,將實際業務切換到WAF進行防護。

          具體操作,請參見修改網域名稱DNS解析設定

    3. 業務接入WAF獨享叢集防護後,如果業務特性發生變化且涉及到獨享叢集配置,請參見步驟1(更新叢集配置)步驟2(編輯網站配置)進行調整。